今後は“Business CISO”が爆誕? リーダーに求められる変化:Cybersecurity Dive
規制当局がコンプライアンス強化を推進する中、CISOをはじめとしたセキュリティリーダーたちには新たな役割が求められるようになっている。一体どのような役割なのだろうか。
調査企業であるIANS ResearchとArtico Searchが2024年11月に発表した報告書によると(注1)、規制順守に関するプレッシャーの高まりを理由として、セキュリティを専門とするリーダーを中心にチームを拡大する企業が増えている。
今後は“Business CISO”が爆誕? リーダーに求められる変化
年間の売上高が60億ドル以上の企業の大半において、セキュリティチームは50人以上のメンバーで構成されている。また、セキュリティオペレーションやリスクコンプライアンス、製品セキュリティを専門とする個別のチームも存在する。これらのグループのCISO(最高情報セキュリティ責任者)の5人に2人以上は、後継者となり得る副CISOを擁している。
新しい人材を募集する場合、多くのCISOは企業の他部門との連携や規制順守の要求を管理するため、副CISOやスタッフ責任者、ビジネスを専門とするCISOを含む重要な専門家の採用を希望している。
サイバー攻撃が巧妙になり、事業の中断や規制当局による監視、訴訟、財務に対する直接的な影響のリスクに大企業がさらされるようになり、企業におけるCISOの役割は重要性と認知度を増してきた。
IANSのニック・カコロフスキー氏(シニアリサーチディレクター)は「Cybersecurity Dive」に対して次のように語った。
「CISOはデジタルリスク領域の大部分を管理する中心人物となっているだけでなく、ビジネスにおいて、それらの領域に関する対話をリードする人物でもある。そのためさまざまな機能におけるCISOの責任がますます増大している」
CISOは現在、経営幹部にサイバーリスクを報告する責任を負っており、取締役会と定期的にやりとりすることも増えている。CISOは重大なインシデントや身代金の支払いについて、連邦および一部の州の規制当局に報告することも義務付けられている。
サイバーセキュリティ事業を営むTrellixが2024年10月に発表した報告書によると、世界のCISOの5人に4人はインシデント報告に関する要求の高まりに対応するためにCISOの役割を分割し(注2)、ビジネスを専門とするCISOを配置することを望んでいるという。
連邦政府当局は、コンプライアンスの要求が増加する中で、手続きを合理化する作業を進めており(注3)、複数の連邦機関による重複する要求を減らせるように努めている。この取り組みによって単一のインシデントをさまざまな機関と共有できるようになる。
(注1)Scale and Build a Resilient Security Team - The Leadership and Org Report is Live!(IANS)
(注2)Majority of global CISOs want to split roles as regulatory burdens grow(Cybersecurity Dive)
(注3)National cyber director calls for streamlined security regulations(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
徳丸 浩氏が2025年の脅威を予測 生成AIの悪用はどこまで現実化するのか?
サイリーグホールディングスが開催した記者説明会で、セキュリティ業界のご意見番である徳丸 浩氏が個人的に気になった2024年のセキュリティ事件を振り返り、2025年の脅威予測を発表した。クレジットカードを少額で不正利用? その狡かつな手口【セキュリティニュースまとめ】
2024年11月は、Androidユーザーを狙うマルウェアやEDR製品による検知を回避する技術、クレジットカードの不正利用など最新の攻撃手法などが話題を集めた。前月の注目ニュースを一気に振り返る。ZabbixにCVSS 9.9の深刻な脆弱性 迅速なアップデートを推奨
Zabbixは監視ソリューション「Zabbix」に深刻な脆弱性があると報告した。リモートからの任意コード実行や権限昇格のリスクがあり、速やかなアップデートが推奨される。AWSが新たなセキュリティサービスを発表 24時間体制でインシデント対応を支援
AWSは新たなセキュリティサービス「AWS Security Incident Response」を発表した。AWSの専門チームが24時間365日体制でサポートし、セキュリティイベントの調査や対応を支援するという。